Вы можете забить на это открытие и попытаться самостоятельно продолжить пользоваться браузером. Как раз словите ошибку сертификата и перенаправление.
На Android при подключении к сети обращается к определенному URL гугла, если ответ будет ок и без ошибок, то интернет есть, если будет перенаправление(с ошибкой сертификата естественно), то появится предложение войти в сеть.
ну это или какой-то непонятный левый впн, или что-то другое. Тут вопрос в том что ругается только ваше приложение или все подряд? ибо если только ваше приложение(браузер тоже будет ругаться на подмену при HTTPS), то надо изучать причины.
Сервер не может определить наличие MitM если не используется mTLS. (а он не используется, кроме случаев явной авторизации по сертификату)
А клиенты приложений в большинстве случаев имеют certificate pinning и заметят подмену.
Насчет ошибки что видят ваши клиенты, тут надо смотреть конкретно на нее и где именно она возникает.
1)Если это браузер, то это могут быть отсутствующие сертификаты минцифры или п2.
2)В основном для публичных WiFi, пока не пройдена авторизация роутер может перенаправлять трафик на сервер авторизации, естественно у того нет корректного сертификата на исходный SNI и будет ошибка.
Либо есть ограничения по допустимым SNI(белые списки) и любое соединение вне списка так же заворачивается на заглушку. тоже будет ошибка не соответствия.
------------
Большинство VPN работают по тому же принципу что у вас роутер дома, то есть банальный NAT
Все верно, но браузер отправит запрос https://sber.ru/ на адрес 66.66.66.66, и этот адрес должен установить валидную TLS сессию по SNI sber.ru, прежде чем браузер отправит ему запрос и будет ждать ответ. А на этом этапе будет проблема, так как у данного адреса не будет валидного сертификата для SNI sber.ru. Еще на этапе установки TLS соединения браузер покажет что фигня какая-то, я жду sber.ru, а мне приходит сертификат на cber.ru)
Речь идет про шареный хостинг, там у хостера есть сертификат Васи(Вася сам его дает ради https). Хостер по сути является последней милей, и ничего не легального с точки зрения протоколов не делает. У хостера на сервере прописано что если услуга активно отдаем контент Васи, иначе отдаем заглушку(на его nginx/apache)
Так блокировщик по факту это VPN на Android(другого способа локально завернуть трафик там нет вроде). Они просто проверяют наличие туннеля и все. куда там идет трафик им пофиг.
у YourVpnDead странная проверка на DNS в частной сети...про локальную сеть забыли?
Так же решил протестировать приложение с новости, странный вывод, оно видимо рассчитано на обратный VPN, то есть когда VPN в РФ? (То есть когда ты например VK/MAX заворачиваешь в VPN) так как показало что оно смогло узнать мой реальный адрес(логично, его никто и не заворачивал), а то что он совпадает с тем что прямым запросом оно узнало они проверить забыли...это в разделе Split tunneling.
Оба показали только факт того что у меня туннель в итоге.
Эм, вы приложение у себя же на компьютере блокируете на уровне роутера?
Технически это шире чем просто список хостов самого телеграма, так как вы затроните прокси что используются вашим клиентом.
Но сторонние прокси и/или впн что поставлены у других участников сети на вашем клиенте никак не окажутся. (да и блокируя все соединения вы по-идее перестанете сами получать обновления адресов, плюс может повезти на разный резолв адресов для разных участников)
Это вроде библиотека для инференса же, а не модель.
Больше всего интересуют модели и библиотеки/ПО для элементов конвейера обработки. Ну и особенности преобразования данных может. Думаю большой статьи бы хватило(ну это лично мне)
Вы можете забить на это открытие и попытаться самостоятельно продолжить пользоваться браузером. Как раз словите ошибку сертификата и перенаправление.
На Android при подключении к сети обращается к определенному URL гугла, если ответ будет ок и без ошибок, то интернет есть, если будет перенаправление(с ошибкой сертификата естественно), то появится предложение войти в сеть.
ну это или какой-то непонятный левый впн, или что-то другое. Тут вопрос в том что ругается только ваше приложение или все подряд? ибо если только ваше приложение(браузер тоже будет ругаться на подмену при HTTPS), то надо изучать причины.
Сервер не может определить наличие MitM если не используется mTLS. (а он не используется, кроме случаев явной авторизации по сертификату)
А клиенты приложений в большинстве случаев имеют certificate pinning и заметят подмену.
Насчет ошибки что видят ваши клиенты, тут надо смотреть конкретно на нее и где именно она возникает.
1)Если это браузер, то это могут быть отсутствующие сертификаты минцифры или п2.
2)В основном для публичных WiFi, пока не пройдена авторизация роутер может перенаправлять трафик на сервер авторизации, естественно у того нет корректного сертификата на исходный SNI и будет ошибка.
Либо есть ограничения по допустимым SNI(белые списки) и любое соединение вне списка так же заворачивается на заглушку. тоже будет ошибка не соответствия.
------------
Большинство VPN работают по тому же принципу что у вас роутер дома, то есть банальный NAT
они работают только для http. Или если вы урвали валидный сертификат для чужого доменного имени.
Все верно, но браузер отправит запрос https://sber.ru/ на адрес 66.66.66.66, и этот адрес должен установить валидную TLS сессию по SNI sber.ru, прежде чем браузер отправит ему запрос и будет ждать ответ. А на этом этапе будет проблема, так как у данного адреса не будет валидного сертификата для SNI sber.ru.
Еще на этапе установки TLS соединения браузер покажет что фигня какая-то, я жду sber.ru, а мне приходит сертификат на cber.ru)
Речь идет про шареный хостинг, там у хостера есть сертификат Васи(Вася сам его дает ради https). Хостер по сути является последней милей, и ничего не легального с точки зрения протоколов не делает. У хостера на сервере прописано что если услуга активно отдаем контент Васи, иначе отдаем заглушку(на его nginx/apache)
Еще мне нравится что некоторые сайты пытаются оформить отлуп в стиле ошибки браузера.
До нововведений у них могло даже не быть впн. А теперь надо срочно искать впн домой. шикарный туризм.
Особенно шикарно охренели от этих мер люди что из-за границы не могли попасть на сервисы.(типа РЖД или почты РФ)
Как вы собрались по наличию тоннеля определить чей это VPN?(это все что может узнать приложение)
дополнительный сетевой интерфейс все равно виден, внутри Knox по крайней мере.
Adguard поднимает локальный VPN чтоб получать трафик.
И все что они видят это наличие тоннеля...
Но вот беда, это может быть корпоративный VPN.
Так блокировщик по факту это VPN на Android(другого способа локально завернуть трафик там нет вроде). Они просто проверяют наличие туннеля и все. куда там идет трафик им пофиг.
MAC не уходит же дальше первого хопа, или я что-то путаю?
tracert показывает IP входящего интерфейса хопа, а не исходящего.
1 хоп: внутренний адрес роутера
2 хоп: внутренний адрес туннеля на стороне VPS
3 хоп: адрес шлюза VPS.
у YourVpnDead странная проверка на DNS в частной сети...про локальную сеть забыли?
Так же решил протестировать приложение с новости, странный вывод, оно видимо рассчитано на обратный VPN, то есть когда VPN в РФ? (То есть когда ты например VK/MAX заворачиваешь в VPN) так как показало что оно смогло узнать мой реальный адрес(логично, его никто и не заворачивал), а то что он совпадает с тем что прямым запросом оно узнало они проверить забыли...это в разделе Split tunneling.
Оба показали только факт того что у меня туннель в итоге.
Эм, вы приложение у себя же на компьютере блокируете на уровне роутера?
Технически это шире чем просто список хостов самого телеграма, так как вы затроните прокси что используются вашим клиентом.
Но сторонние прокси и/или впн что поставлены у других участников сети на вашем клиенте никак не окажутся. (да и блокируя все соединения вы по-идее перестанете сами получать обновления адресов, плюс может повезти на разный резолв адресов для разных участников)
Из того что я замечал, стали резать телеграм на трансгран ТСПУ, а не на провайдерских.
Это вроде библиотека для инференса же, а не модель.
Больше всего интересуют модели и библиотеки/ПО для элементов конвейера обработки. Ну и особенности преобразования данных может. Думаю большой статьи бы хватило(ну это лично мне)